Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
MFAの設定で色々失敗した話
Search
Yuki_Kurono
March 10, 2022
Programming
940
1
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
MFAの設定で色々失敗した話
Yuki_Kurono
March 10, 2022
More Decks by Yuki_Kurono
See All by Yuki_Kurono
Terraform(IaC)と実環境の乖離どうしていますか?
yuki_kurono
0
33
今年のre:inventから学ぶこと
yuki_kurono
0
110
re_invent 2023事前勉強会
yuki_kurono
0
100
CloudFormationの運用が 辛くならない方法を本気で考えてみた
yuki_kurono
0
330
CloudFormationで登場したForEachをちゃんと理解してみる
yuki_kurono
0
870
Turnstileのウィジェット モードとは何者か
yuki_kurono
0
700
CodeGuru Security ってなんだ?
yuki_kurono
0
1.2k
えるしってるか CloudFrontはWAFがあっても カスタムエラーレスポンスを返せる
yuki_kurono
0
440
Cloudflare初心者がIaCから基本構成を学んでみた
yuki_kurono
1
630
Other Decks in Programming
See All in Programming
AI駆動開発を妨げる技術的負債の解消アプローチ / ai-refactoring-approach
minodriven
17
8.9k
Haskell/Servantを通してWebミドルウェアを捉え直す
pizzacat83
1
480
信頼性について考えてみる(SRE NEXT 2026 miniLT)
hayama17
0
160
壊れたパーサから始める関数型設計と構成的なパーサ #fp_matsuri
raiga0310
2
200
Contextとはなにか
chiroruxx
1
390
自作OSでスライド発表する
uyuki234
1
3.8k
そのテスト、説明できますか?~LWテスト戦略FW~のご紹介
nakahara
0
200
継続モナドとリアクティブプログラミング
yukikurage
3
500
例外の正しい扱い方 そのエラー try-catchして大丈夫?
jinwatanabe
0
360
吝嗇家のためのAI活用 / AI development for miser - ChatGPT + Issue Driven Development
tooppoo
0
180
Mujeres en SEO Summit 2026 - Greatest Disaster Hits en Web Performance
guaca
0
240
Generative UI & AI-Assistants for Your Angular Solutions
manfredsteyer
PRO
0
100
Featured
See All Featured
[RailsConf 2023] Rails as a piece of cake
palkan
59
6.7k
GraphQLとの向き合い方2022年版
quramy
50
15k
Bioeconomy Workshop: Dr. Julius Ecuru, Opportunities for a Bioeconomy in West Africa
akademiya2063
PRO
1
170
Principles of Awesome APIs and How to Build Them.
keavy
128
18k
Have SEOs Ruined the Internet? - User Awareness of SEO in 2025
akashhashmi
0
390
How to audit for AI Accessibility on your Front & Back End
davetheseo
0
460
The Cost Of JavaScript in 2023
addyosmani
55
10k
SERP Conf. Vienna - Web Accessibility: Optimizing for Inclusivity and SEO
sarafernandez
2
1.5k
Gemini Prompt Engineering: Practical Techniques for Tangible AI Outcomes
mfonobong
2
460
What's in a price? How to price your products and services
michaelherold
247
13k
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
12
1.2k
How Software Deployment tools have changed in the past 20 years
geshan
0
34k
Transcript
MFAの設定で色々失敗した話 アイレット株式会社 黒野雄稀 JAWS-UG CLI専門支部 #251R 2022/03/10
自己紹介 名前:黒野 雄稀 趣味:Cookie Clicker AWS歴:3年くらい 所属:アイレット株式会社
• 仮想 MFA デバイス • U2F セキュリティキー • ハードウェア MFA
デバイス • SMS テキストメッセージベース MFA https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_credentials_mfa.html 使用できる方法 AWS におけるMFA セキュリティを向上させるには、多要素認証(MFA)を 設定して AWS リソースを保護することを推奨します。 IAM ユーザーまたは AWS アカウント ルートユーザー に 対して MFA を有効にすることができます。 概要
今回お話しする前提 • 環境は稼働中のお客さんのAWS環境 • MFAを必須にするIAMポリシーをアタッチする必要があった • こちらが設計したIAMポリシーで、 お客さんにIAMユーザを作成してもらう状況
MFAを設定する
MFAの設定を中断する キャンセル!
設定中に中断すると… • 「エンティティは既に存在しています」とエラーが発生する • MFAデバイスはコンソールから確認すると「割り当てなし」と表示 される
AWSのドキュメント これは、誰かが以前に IAM コンソールでユーザーに仮想 MFA デバイ スの割り当てを開始し、プロセスをキャンセルした場合に発生する可 能性があります。これにより、IAM のユーザーの MFA
デバイスが作 成されますが、アクティブ化されることはありません。 新しいデバイスをユーザーに関連付ける前に、既存の MFA デバイス を削除する必要があります。 https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/troubleshoot_general.html #troubleshoot_general_access-denied-delete-mfa
MFAのリセット方法(CLI)
コマンド実行手順① 設定に失敗したMFAのSerialNumber確認 root@kurono:~# aws iam list-virtual-mfa-devices { "VirtualMFADevices": [ {
"SerialNumber": "arn:aws:iam::12345678910:mfa/kurono-test-mfa" }, { "SerialNumber": "arn:aws:iam::12345678910:mfa/root-account-mfa-device", "User": { "UserId": "12345678910", "Arn": "arn:aws:iam::12345678910:root", "CreateDate": "2017-07-27T06:47:31+00:00", "PasswordLastUsed": "2017-07-27T06:47:59+00:00" }, "EnableDate": "2017-07-27T07:03:10+00:00" }, ] }
コマンド実行手順② 設定に失敗したMFAの設定削除 root@kurono:~# aws iam delete-virtual-mfa-device --serial-number "arn:aws:iam::12345678910:mfa/kurono-test-mfa"
コマンド実行手順③ 失敗したMFAが削除されているか確認 root@kurono:~# aws iam list-virtual-mfa-devices { "VirtualMFADevices": [ {
"SerialNumber": "arn:aws:iam::12345678910:mfa/root-account-mfa-device", "User": { "UserId": "12345678910", "Arn": "arn:aws:iam::12345678910:root", "CreateDate": "2017-07-27T06:47:31+00:00", "PasswordLastUsed": "2017-07-27T06:47:59+00:00" }, "EnableDate": "2017-07-27T07:03:10+00:00" }, ] }
どうなったか?
アクセスキー発行権限不足 https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_credentials_access-keys.html#access- keys_required-permissions
Unable to start the environment. You don't have required permissions.
CloudShell実行権限不足 https://docs.aws.amazon.com/ja_jp/cloudshell/latest/userguide/sec-auth-with-identities.html
まとめ • 検証してからIAMユーザは作成しよう • MFAを設定する時は慎重に。。(戒め)
参考 ・https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_credentials_mfa.html AWS での多要素認証 (MFA) の使用 ・https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/troubleshoot_general.html #troubleshoot_general_access-denied-delete-mfa AWS ドキュメント(MFAのリセット方法)
・https://docs.aws.amazon.com/ja_jp/cloudshell/latest/userguide/sec-auth-with-identities.html 管理AWS CloudShell IAM ポリシーでのアクセスと使用